KR20150069001A - Restricted certificate enrollment for unknown devices in hotspot networks - Google Patents
Restricted certificate enrollment for unknown devices in hotspot networks Download PDFInfo
- Publication number
- KR20150069001A KR20150069001A KR1020157012468A KR20157012468A KR20150069001A KR 20150069001 A KR20150069001 A KR 20150069001A KR 1020157012468 A KR1020157012468 A KR 1020157012468A KR 20157012468 A KR20157012468 A KR 20157012468A KR 20150069001 A KR20150069001 A KR 20150069001A
- Authority
- KR
- South Korea
- Prior art keywords
- certificate
- network access
- network
- access
- way
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/082—Access security using revocation of authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/084—Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/08—Access point devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
네트워크 액세스 시스템, 예를 들어, 네트워크 핫스팟(110)은, 모바일 네트워크 액세스 디바이스(180), 예를 들어, 스마트 폰 또는 WiFi 전용 디바이스가 네트워크 서비스들에 대한 액세스를 획득하기 위해 네트워크 액세스 표준 지정 및/또는 디바이스 식별 데이터를 제공하도록 요구한다. 네트워크 액세스 표준 지정은 모바일 네트워크 액세스 디바이스(180)에 의해, PKCS10 인증서 서명 요청의 EKU 키 목적 필드를 통해 온라인 서명 서버(130), OSU에 제공될 수 있다. 디바이스 식별 데이터는 서명 요청의 대상 필드를 통해 OSU(130)에 제공될 수 있다. OSU(130)는, 모바일 네트워크 액세스 디바이스(180)가 서명된 네트워크 액세스 인증서를 요청하기 전에 모바일 네트워크 액세스 디바이스(180)에 의해 제공된 디바이스 식별 데이터와 상기 디바이스 식별 데이터가 동일할 것을 요구할 수 있다.A network access system, for example, a network hotspot 110, may be used to allow a mobile network access device 180, e.g., a smartphone or WiFi-only device, to specify network access standards and / Or device identification data. The network access standard specification may be provided by the mobile network access device 180 to the online signing server 130, OSU, via the EKU key purpose field of the PKCS10 certificate signing request. The device identification data may be provided to the OSU 130 via the subject field of the signature request. The OSU 130 may require that the device identification data and the device identification data provided by the mobile network access device 180 be the same before the mobile network access device 180 requests the signed network access certificate.
Description
본 출원은, 2012년 11월 13일에 출원되고 발명의 명칭이 "Restricted Certificate Enrollment for Unknown Devices in Hotspot Networks"인, 이전에 출원된 미국 가특허출원 제 61/726,009호의 우선권을 주장하며, 상기 가특허출원은 그 전체가 참조로 본원에 통합된다.This application claims priority to a previously filed U.S. Provisional Patent Application No. 61 / 726,009, filed November 13, 2012, entitled " Restricted Certificate Enrollment for Unknown Devices in Hotspot Networks & A patent application is incorporated herein by reference in its entirety.
본 개시는 일반적으로, 네트워킹된 무선 통신 분야에 관한 것이다.
This disclosure generally relates to the field of networked wireless communications.
본 섹션은, 본 발명들의 더 양호한 이해를 용이하게 하는데 도움이 될 수 있는 양상들을 소개한다. 따라서, 본 섹션의 진술들을 이러한 관점에서 읽어야 하며, 이러한 진술이 종래 기술인 것 또는 종래 기술이 아닌 것에 대한 인정인 것으로 이해해서는 안된다.This section introduces aspects that may be helpful in facilitating a better understanding of the present invention. Accordingly, the statements of this section should be read in this light and should not be construed as an admission that such statements are prior art or non-conventional.
모바일 디바이스들 및 모바일 애플리케이션들에서 최근의 진보들은 모바일 네트워크에 대한 상당한 대역폭 및 성능 요구들을 초래해 왔다. 모바일 및 WiFi 네트워크 기술 및 표준들은, 이종 네트워크(HetNet) 아키텍쳐 쪽으로 진화하고 있다. 이러한 진화는, 모바일 서비스 제공자들이 모바일 네트워크 트래픽을 WiFi 네트워크로 넘기도록 허용하고 또한 모바일 서비스 제공자들이 셀룰러 및 WiFi 액세스를 포함하는 포괄적인 서비스 계획들을 제공할 수 있게 하는 것이 예상된다.
Recent advances in mobile devices and mobile applications have resulted in significant bandwidth and performance requirements for mobile networks. Mobile and WiFi network technologies and standards are evolving toward a heterogeneous network (HetNet) architecture. This evolution is expected to allow mobile service providers to pass mobile network traffic over WiFi networks and also enable mobile service providers to provide comprehensive service plans including cellular and WiFi access.
일 실시예는, 예를 들어, 온라인 서명 서버(OSU; online signup server)를 동작시키는 방법을 제공한다. 서버는, 클라이언트 디바이스, 예를 들어, 모바일 네트워크 액세스 디바이스 또는 WiFi 전용 디바이스로부터 네트워크 액세스 인증서 서명 요청을 수신한다. 서버는, 인증서 서명 요청이 미리결정된 값과 동일한 네트워크 액세스 표준을 포함한다는 조건으로, 인증서 요청을 인증서 발행 기관에 포워딩한다.One embodiment provides a method of operating an online signup server (OSU), for example. The server receives a network access certificate signing request from a client device, for example, a mobile network access device or a WiFi-only device. The server forwards the certificate request to the certificate issuing authority, provided that the certificate signing request includes the same network access standard as the predetermined value.
다른 실시예는, 전술된 방법의 실시예들을 수행하도록 구성되는 서버, 예를 들어, OSU 서버를 제공한다. 서버는 프로세서, 및 네트워크에 커플링된 네트워크 인터페이스를 포함한다. 비일시적 머신 판독가능 저장 매체 상에 프로그램 코드가 인코딩된다. 프로그램 코드는, 모바일 네트워크 액세스 디바이스로부터 네트워크 인터페이스를 통해 인증서 등록 요청을 수신하는 단계를 포함하는 방법을 구현하기 위해 프로세서에 의해 실행된다. 방법은, 인증서 등록 요청이 미리결정된 값과 동일한 네트워크 액세스 표준 식별자를 포함한다는 조건으로, 인증서 등록 요청을 네트워크 인터페이스를 통해 인증서 발행 기관에 포워딩하는 단계를 더 포함한다.Another embodiment provides a server, e.g., an OSU server, configured to perform embodiments of the above-described method. The server includes a processor, and a network interface coupled to the network. The program code is encoded on the non-transitory machine-readable storage medium. The program code is executed by a processor to implement a method comprising receiving a certificate enrollment request from a mobile network access device via a network interface. The method further includes forwarding the certificate enrollment request to the certificate issuing authority via the network interface, provided that the certificate enrollment request includes a network access standard identifier equal to a predetermined value.
몇몇 실시예들에서, 전술된 방법은, 인증서 서명 요청을 모바일 네트워크 액세스 디바이스 또는 WiFi 전용 디바이스로부터 수신하는 단계, 및 디바이스 식별 데이터를 포함하는 메시지가 디바이스로부터 이전에 수신되었다는 조건으로, 인증서 서명 요청을 인증서 발행 기관에 포워딩하는 단계를 포함한다. 몇몇 실시예들에서, 미리결정된 값은 핫스팟 2.0(HS2.0) 또는 그 후의 표준을 특정한다. 임의의 실시예에서, 미리결정된 값은 확장된 키 용도(EKU) 키 목적 필드를 통해 전달될 수 있다. 몇몇 실시예들에서, 미리결정된 값은 스트링 id-kp-HS2.0Auth를 포함한다. 다양한 실시예들에서, 클라이언트 디바이스는, 예를 들어, 모바일 폰, 스마트 폰, 모바일 컴퓨팅 디바이스, 모바일 폰 능력이 없는 모바일 컴퓨팅 디바이스, 또는 WiFi를 갖는 개인용 컴퓨터를 포함할 수 있다.In some embodiments, the above-described method includes receiving a certificate signing request from a mobile network access device or a WiFi-only device, and sending a certificate signing request, on condition that a message containing device identification data has previously been received from the device And forwarding to the certificate issuing authority. In some embodiments, the predetermined value specifies a hotspot 2.0 (HS2.0) or later standard. In certain embodiments, the predetermined value may be conveyed via an extended key usage (EKU) key purpose field. In some embodiments, the predetermined value includes the string id-kp-HS2.0Auth. In various embodiments, the client device may include, for example, a mobile phone, a smartphone, a mobile computing device, a mobile computing device without mobile phone capability, or a personal computer with a WiFi.
다른 양상은, 인증서 승인 서버, 예를 들어, 인증서 기관(CA)을, 예를 들어, 동작시키는 방법을 제공한다. 방법은, 인증서 승인 서버에 의해, 예를 들어, 모바일 네트워크 액세스 디바이스로부터 네트워크 액세스를 위한 인증서 서명 요청을 수신하는 단계를 포함한다. 서버는, 인증서 등록 요청이 미리결정된 값과 동일한 네트워크 액세스 표준을 포함한다는 조건으로, 서명된 네트워크 액세스 인증서를 디바이스에 제공한다.Another aspect provides a method of operating a certificate approval server, e.g., a certificate authority (CA), for example. The method includes receiving, by a certificate acceptance server, a certificate signing request for network access, for example, from a mobile network access device. The server provides the device with a signed network access certificate, provided that the certificate enrollment request includes the same network access standard as the predetermined value.
다른 실시예는, 전술된 방법의 실시예들을 수행하도록 구성되는 서버를 제공한다. 서버는 프로세서, 및 네트워크에 동작가능하게 커플링되는 네트워크 인터페이스를 포함한다. 비일시적 머신 판독가능 저장 매체 상에 프로그램 코드가 인코딩된다. 프로그램 코드는, 모바일 네트워크 액세스 디바이스 또는 WiFi-전용 디바이스로부터 네트워크 인터페이스를 통해 인증서 등록 요청을 수신하는 단계를 포함하는 방법을 구현하기 위해 프로세서에 의해 실행된다. 서명된 네트워크 액세스 인증서는, 인증서 등록 요청이 미리결정된 값과 동일한 네트워크 액세스 표준을 포함한다는 조건으로, 네트워크 인터페이스를 통해 디바이스에 제공된다.Another embodiment provides a server configured to perform embodiments of the method described above. The server includes a processor, and a network interface operatively coupled to the network. The program code is encoded on the non-transitory machine-readable storage medium. The program code is executed by a processor to implement a method comprising receiving a certificate enrollment request from a mobile network access device or a WiFi-only device via a network interface. The signed network access certificate is provided to the device via the network interface, provided that the certificate enrollment request includes the same network access standard as the predetermined value.
다양한 실시예들에서, 서명된 액세스 인증서는, 모바일 네트워크 액세스 디바이스를 식별하는 디바이스 식별 데이터를 포함한다. 몇몇 이러한 실시예들에서, 디바이스 식별 데이터는 서명된 인증서의 대상 필드에서 전달된다. 몇몇 실시예들에서, 네트워크 액세스 표준 지정은 HS2.0 또는 그 후의 표준을 특정한다. 몇몇 실시예들에서, 네트워크 액세스 표준 지정은 서명된 인증서의 EKU_key_purpose 필드에서 전달된다. 몇몇 실시예들에서, 서명된 액세스 인증서는, 네트워크 액세스 표준 지정이 위험하다는 지정을 포함한다. 몇몇 실시예들에서, 디바이스 식별 데이터는 IMEI, MEID, MAC 어드레스 또는 고유 디바이스 식별(ID), 예를 들어, 직렬 번호를 포함한다.In various embodiments, the signed access certificate includes device identification data that identifies the mobile network access device. In some such embodiments, the device identification data is carried in the subject field of the signed certificate. In some embodiments, the network access standard specification specifies HS2.0 or later standards. In some embodiments, the network access standard specification is conveyed in the EKU_key_purpose field of the signed certificate. In some embodiments, the signed access certificate includes specifying that the network access standard specification is dangerous. In some embodiments, the device identification data includes an IMEI, a MEID, a MAC address or a unique device identification (ID), e.g., a serial number.
다른 양상은, 모바일 네트워크 액세스 디바이스, 예를 들어, 모바일 전화 또는 WiFi-전용 디바이스를, 예를 들어, 동작시키는 방법을 제공한다. 모바일 디바이스는 서비스 제공자 네트워크로의 액세스를 위한 인증서를 수신한다. 디바이스는, 인증서 서명 요청을 서비스 제공자 네트워크 서버에 전송하고, 서명 요청은 네트워크 액세스 표준 지정을 포함한다. 모바일 디바이스는, 네트워크 액세스 표준 지정을 포함하는 서명된 액세스 인증서를 수신한다.Another aspect provides a method for operating, e.g., a mobile network access device, e.g., a mobile phone or WiFi-specific device. The mobile device receives a certificate for access to the service provider network. The device sends a certificate signing request to the service provider network server, and the signature request includes a network access standard specification. The mobile device receives a signed access certificate that includes a network access standard specification.
다른 실시예는, 전술된 방법의 실시예들을 수행하도록 구성되는 모바일 네트워크 액세스 디바이스, 예를 들어, 모바일 전화 또는 WiFi-전용 디바이스를 제공한다. 모바일 네트워크 액세스 디바이스는 프로세서, 및 무선 네트워크와 통신하도록 구성되는 트랜시버를 포함한다. 비일시적 머신 판독가능 저장 매체 상에 프로그램 코드가 인코딩된다. 프로그램 코드는, 서비스 제공자 네트워크로의 액세스를 위한 인증서를 트랜시버를 통해 수신하는 단계를 포함하는 방법을 구현하기 위해 프로세서에 의해 실행된다. 인증서 서명 요청은 트랜시버를 통해 서비스 제공자 네트워크 서버에 전송되고, 서명 요청은 네트워크 액세스 표준 지정을 포함한다. 서명된 액세스 인증서는 트랜시버를 통해 수신되고, 인증서는 네트워크 액세스 표준 지정을 포함한다.Another embodiment provides a mobile network access device, e.g., a mobile phone or WiFi-only device, configured to perform embodiments of the above-described method. The mobile network access device includes a processor, and a transceiver configured to communicate with the wireless network. The program code is encoded on the non-transitory machine-readable storage medium. The program code is executed by a processor to implement a method comprising receiving a certificate for access to a service provider network via a transceiver. The certificate signing request is sent to the service provider network server via the transceiver, and the signature request includes a network access standard specification. The signed access certificate is received via the transceiver, and the certificate includes a network access standard specification.
방법의 다양한 실시예들은, 모바일 네트워크 액세스 디바이스 또는 WiFi 전용 디바이스에 의해 디바이스 식별 데이터를 네트워크 액세스 서버에 제공하는 단계를 더 포함하고, 서명된 액세스 인증서는 디바이스 식별 데이터를 포함한다. 몇몇 이러한 실시예들에서, 디바이스 식별 데이터는 서명된 인증서의 대상 필드에서 전달된다. 몇몇 실시예들에서, 네트워크 액세스 표준 지정은 HS2.0 또는 그 후의 표준을 특정한다. 몇몇 실시예들에서, 네트워크 액세스 표준 지정은 서명된 인증서의 EKU_key_purpose 필드에서 전달된다. 다양한 실시예들에서, 클라이언트 디바이스는 모바일 폰, 스마트 폰, 모바일 컴퓨팅 디바이스, 모바일 폰 능력이 없는 모바일 컴퓨팅 디바이스, 또는 WiFi를 갖는 개인용 컴퓨터를 포함할 수 있다. 몇몇 실시예들에서, 서명된 액세스 인증서는, 네트워크 액세스 표준 지정이 위험하다는 지정을 포함한다.Various embodiments of the method further comprise providing device identification data to a network access server by a mobile network access device or a WiFi dedicated device, wherein the signed access certificate includes device identification data. In some such embodiments, the device identification data is carried in the subject field of the signed certificate. In some embodiments, the network access standard specification specifies HS2.0 or later standards. In some embodiments, the network access standard specification is conveyed in the EKU_key_purpose field of the signed certificate. In various embodiments, the client device may comprise a mobile phone, a smart phone, a mobile computing device, a mobile computing device without mobile phone capability, or a personal computer with a WiFi. In some embodiments, the signed access certificate includes specifying that the network access standard specification is dangerous.
다른 실시예는, 예를 들어, 인증, 인가 및 과금(AAA) 서버를 동작시키는 방법을 제공한다. 방법은, 서버에 의해 클라이언트 디바이스로부터 액세스 인증서를 포함하는 네트워크 액세스 요청을 수신하는 단계를 포함한다. 서버는, 인증서와 연관된 목적 지정, 예를 들어, 키 목적을 결정한다. 목적 지정이, 예를 들어, 특정 네트워크 액세스 표준에 대해, 미리결정된 목적 지정에 매칭하면, 서버는 클라이언트 디바이스에 의한 네트워크 서비스들로의 액세스를 승인한다.Another embodiment provides a method of operating an authentication, authorization and accounting (AAA) server, for example. The method includes receiving a network access request by the server from a client device, the access request including an access certificate. The server determines the destination assignment associated with the certificate, e.g., the key purpose. If the destination specification matches a predetermined destination specification, e.g., for a particular network access standard, the server grants access to network services by the client device.
다른 실시예는, 전술된 방법의 실시예들을 수행하도록 구성되는 서버를 제공한다. 서버는 프로세서, 및 네트워크에 동작가능하게 커플링되는 네트워크 인터페이스를 포함한다. 비일시적 머신 판독가능 저장 매체 상에 프로그램 코드가 인코딩된다. 프로그램 코드는, 인증서를 포함하는 네트워크 액세스 요청을 네트워크 인터페이스를 통해 클라이언트 디바이스로부터 수신하는 단계를 포함하는 방법을 구현하기 위해 프로세서에 의해 실행된다. 네트워크 서버는 인증서와 연관된 목적을 결정한다. 목적이 미리결정된 목적이라는 조건으로, 클라이언트 디바이스에 의한 네트워크 서비스들로의 액세스가 승인된다.Another embodiment provides a server configured to perform embodiments of the method described above. The server includes a processor, and a network interface operatively coupled to the network. The program code is encoded on the non-transitory machine-readable storage medium. The program code is executed by a processor to implement a method comprising receiving a network access request including a certificate from a client device via a network interface. The network server determines the purpose associated with the certificate. Access to network services by the client device is granted, provided the purpose is a predetermined purpose.
다양한 실시예들에서, 미리결정된 목적은 핫스팟 네트워크로의 액세스를 포함한다. 몇몇 이러한 실시예들에서, 핫스팟 네트워크는 HS2.0 또는 그 후의 네트워크 표준에 따른다. 다양한 실시예들에서, 방법은, 클라이언트 디바이스에 의해 제공된 인증서가 폐지되었다고 인증서 기관이 결정하는 조건으로, 클라이언트 디바이스에 대한 네트워크 액세스를 거부하는 단계를 더 포함한다. 다양한 실시예들에서, 인증서는 확장된 키 용도(EKU) 키 목적 필드 내의 목적을 포함한다. 다양한 실시예들에서, 서버는 인증, 인가 및 과금(AAA) 서버이다.
In various embodiments, the predetermined purpose includes access to the hotspot network. In some such embodiments, the hotspot network conforms to HS 2.0 or later network standards. In various embodiments, the method further comprises refusing network access to the client device, on condition that the certificate authority determines that the certificate provided by the client device has been revoked. In various embodiments, the certificate includes an object in an Extended Key Usage (EKU) Key Purpose field. In various embodiments, the server is an Authentication, Authorization, and Accounting (AAA) server.
본 발명의 더 완전한 이해는, 첨부된 도면들과 함께 행해지는 다음의 상세한 설명을 참조하여 획득될 수 있다.
도 1은, 시스템, 예를 들어, 서비스 제공자 네트워크 및 네트워크 액세스 핫스팟을 포함하는 서비스 제공자 아키텍쳐를 예시하고, 네트워크 액세스 핫스팟은, 본 명세서에 개시된 다양한 실시예들에 따라 구성되는 OSU, AAA 및 CA, 및 본 명세서에 개시된 다양한 실시예들에 따른 핫스팟을 통해 네트워크 서비스들로의 액세스를 획득하도록 구성되는 모바일 네트워크 액세스 디바이스, 예를 들어, 모바일 폰을 포함한다.
도 2는, 다양한 실시예들에 따라 동작하도록 구성되는 모바일 네트워크 액세스 디바이스, 예를 들어, 도 1의 액세스 디바이스의 예시적인 실시예를 예시한다.
도 3은, 다양한 실시예들에 따라 동작하도록 구성되는 네트워크 서버, 예를 들어, 도 1의 OSU, AAA 또는 CA 서버들의 예시적인 실시예를 예시한다.
도 4 및 도 5는, 다양한 실시예들에 따라, 클라이언트, 예를 들어, 도 1의 액세스 디바이스와 OSU 서버, AAA 서버 및 CA 서버 사이에서, 예를 들어, 메시지들의 통신을 예시하는 방법의 실시예들을 제시한다.
도 6은, 예를 들어, 도 4 및 도 5의 방법들의 몇몇 실시예들에서 이용되는 바와 같이, 다양한 실시예들에서 구성되는 PKCS 메시지 필드들을 개략적으로 예시한다.
도 7은, 네트워크 액세스 인증서를 개략적으로 예시하고, 여기서 인증서 필드들은 도 4 및 도 5의 방법들을 포함하는 다양한 실시예들에 대해 설명되는 바와 같이 구성된다.A more complete understanding of the present invention may be obtained by reference to the following detailed description, taken in conjunction with the accompanying drawings.
Figure 1 illustrates a service provider architecture including a system, e.g., a service provider network and a network access hotspot, wherein the network access hotspot comprises OSUs, AAAs and CAs configured in accordance with various embodiments disclosed herein, And a mobile network access device, e.g., a mobile phone, configured to obtain access to network services via a hotspot in accordance with various embodiments disclosed herein.
Figure 2 illustrates an exemplary embodiment of a mobile network access device, e.g., the access device of Figure 1, configured to operate in accordance with various embodiments.
Figure 3 illustrates an exemplary embodiment of a network server configured to operate in accordance with various embodiments, e.g., OSU, AAA, or CA servers of Figure 1.
Figures 4 and 5 illustrate an embodiment of a method of illustrating the communication of messages, e.g., between a client, e.g., an access device of Figure 1, with an OSU server, an AAA server, and a CA server, in accordance with various embodiments. Give examples.
Figure 6 schematically illustrates PKCS message fields configured in various embodiments, e.g., as used in some embodiments of the methods of Figures 4 and 5, for example.
Figure 7 schematically illustrates a network access certificate, where the certificate fields are configured as described for various embodiments, including the methods of Figures 4 and 5.
본 개시는, 예를 들어, 모바일 핫스팟 서비스 제공자를 통해 네트워크 액세스를 요청하는 미지의 및/또는 미등록된 모바일 네트워크 액세스 디바이스에 의한 온라인 인증서 등록을 위한 방법들 및 시스템들에 관한 것이다. 하나의 이러한 핫스팟 서비스 제공자 타입은, 본 명세서에서 때때로 간략하게 HS2.0으로 지칭되는 핫스팟 2.0 표준 및/또는 그 후의 개정들에 따른다.The present disclosure is directed to methods and systems for online certificate registration by unknown and / or unregistered mobile network access devices that request network access, for example, through a mobile hotspot service provider. One such hotspot service provider type follows the hotspot 2.0 standard referred to herein, sometimes briefly as HS2.0, and / or subsequent modifications.
개선된 "차세대" 모바일 핫스팟 네트워크 아키텍쳐에 대한 규격들의 계속된 개발은 능동적 노력을 유지한다. HS2.0은, 차세대 이종 네트워크("HetNet") 아키텍쳐에 이르는 4G 모바일 LTE 네트워크 및 WiFi 네트워크들의 수렴을 위한 키 인에이블링 기술로 고려된다. 본 명세서에서 설명된 다양한 실시예들은 HS2.0을 참조하지만, 본 개시 및 청구항들의 범주는 HS2.0으로 제한되지 않고, 예를 들어, 유사한 목적을 위한 현재 또는 이전의 표준들, HS2.0 표준에 대한 진화된 업데이트들, 또는 유사한 프로토콜들을 이용하는 다른 또는 추후 개발되는 표준들을 포함할 수 있는 것으로 이해된다.Continued development of specifications for the improved "next generation" mobile hotspot network architecture maintains active efforts. HS2.0 is considered a key enabling technology for the convergence of 4G mobile LTE networks and WiFi networks to the next generation heterogeneous network ("HetNet") architecture. The various embodiments described herein refer to HS2.0, but the scope of the present disclosure and claims is not limited to HS2.0, for example, current or prior standards for similar purposes, HS2.0 standard , Or other or later developed standards that use similar protocols.
HS2.0은, 모바일 네트워크 액세스 디바이스, 예를 들어, 스마트 폰 또는 태블릿 컴퓨터 또는 다른 모바일 컴퓨터와 같은 모바일 디바이스가, 우선순위화된 네트워크들의 리스트로부터 이용가능하고 적절한 HS2.0 네트워크를 동적으로 탐색하고, 서비스를 위해 등록하고, HS2.0 네트워크에 액세스하기 위해 필요한 액세스 자격을 갖도록 원격으로 구성되게 한다. HS2.0 네트워크 액세스를 안전하고, 이동하는 동안 끊김없이 액세스가능하게 하기 위해, 디바이스들에는 초기 WiFi 액세스 동안 인증을 위한 X.509 인증서가 제공될 수 있다.HS2.0 allows mobile devices such as mobile network access devices, e.g., smartphones or tablet computers or other mobile computers, to dynamically search for available and appropriate HS 2.0 networks from a list of prioritized networks , Register for the service, and remotely configured to have the access qualifications needed to access the HS 2.0 network. To make HS2.0 network access secure and seamlessly accessible while on the move, devices may be provided with an X.509 certificate for authentication during initial WiFi access.
HS2.0 액세스를 위해 등록하는 디바이스들은 통상적으로, HS2.0 네트워크 운영자에게 선험적으로 미지이다(예를 들어, 미등록이다). 따라서, 이러한 디바이스들은, 예를 들어, 네트워크 액세스 포인트에 직면하는 경우, 네트워크 온라인에 대한 액세스를 위해 등록할 필요가 있을 수 있다. X.509 인증 인증서에 대한 이러한 미등록된 디바이스들의 온라인 등록의 필요성은 HS2.0 서비스 제공자에 대해 보안 문제를 발생시킨다. 디바이스들은 HS2.0 운영자에게 알려지지 않기 때문에, HS2.0 운영자 네트워크 내의 또는 그에 접속된 인증서 발행 기관(CA)은 통상적으로, 인증서를 등록하는 디바이스와 그 요청된 인증서 기관의 연관을 인증할 수 없다. 이것은, 악의적인 디바이스가 인증서 등록을 위한 요청 엔티티로 가장하여, 그 엔티티가 부여받지 못한 특권을 갖는 인증서를 CA로부터 수신할 수 있는 메커니즘을 발생시킬 수 있다.Devices registering for HS2.0 access are typically a priori unknown (e.g., unregistered) to the HS2.0 network operator. Thus, such devices may need to register for access to the network online, for example, when facing a network access point. The need for on-line registration of these unregistered devices for X.509 authentication certificates creates security problems for HS2.0 service providers. Since the devices are not known to the HS2.0 operator, a certificate issuing authority (CA) within or connected to the HS2.0 operator network can not typically authenticate the association of the requested certificate authority with the device that registers the certificate. This may result in a mechanism by which a malicious device may impersonate as a requesting entity for certificate enrollment, thereby allowing the entity to receive a certificate from the CA that has the unauthorized privilege.
알려진/미리-등록된 또는 미리-제공받은 디바이스들의 경우, 및 관리자 검증에 의한 오프라인 등록의 경우, 보호장치를 제공하는 메커니즘들은 공지되어 있다. 그러나, 이러한 방법들은 일반적으로, HS2.0 WiFi 액세스 이용 케이스들에 대해 적용가능한 미등록된 디바이스들의 온라인 인증서 등록의 경우에 적용가능하지 않다. 따라서, 이러한 환경들 하에서 미등록된 디바이스들의 온라인 인증서 등록의 오용 방지를 위한 방법들 및 디바이스들이 요구된다.In the case of known / pre-registered or pre-provisioned devices, and in the case of off-line registration by administrator verification, mechanisms for providing protection devices are known. However, these methods are generally not applicable in the case of online certificate enrollment of unregistered devices applicable for HS2.0 WiFi access use cases. Therefore, there are a need for methods and devices for preventing misuse of on-line certificate registration of unregistered devices under these circumstances.
본 명세서에서 설명되는 실시예들은, 종래의 인증서 발행의 전술된 결점들을 극복하기 위해 구성되는 방법들 및/또는 디바이스를 제공한다. 아래에서 더 완전히 설명되는 바와 같이, 몇몇 실시예들은, 인터넷 엔지니어링 태스크 포스(IETF)에 의해 공표된 RFC5280에 의해 제공되는 keyPurposeID 필드에 대한 값을 제공함으로써 무선 네트워크에서 미지의 디바이스의 인증을 제공하며, 이 값은, 등록 디바이스에 의한 인가된 접속을 식별한다. 몇몇 실시예들은, 등록 디바이스가 온라인 서명 서버(OSU)에 고유의 식별자, 예를 들어, 국제 모바일 장비 아이덴티티(IMEI) 번호, WiFi 매체 액세스 제어(MAC) 어드레스, 모바일 장비 식별자(MEID) 번호 또는 고유의 디바이스 ID를 제공하는 메커니즘을 제공한다. 이러한 실시예들에서, OSU는, 후속 인증서 서명 요청(CSR)에서 제공된 아이덴티티가 등록 동안 제공된 아이덴티티에 매칭하여, 다른 디바이스가 등록된 디바이스로서 가장하는 것을 방지하는 것을 요구할 수 있다.The embodiments described herein provide methods and / or devices configured to overcome the aforementioned drawbacks of conventional certificate issuance. As described more fully below, some embodiments provide authentication of an unknown device in a wireless network by providing values for the keyPurposeID field provided by RFC 5280 published by the Internet Engineering Task Force (IETF) This value identifies the authorized connection by the registration device. Some embodiments may also be used in the case where the registration device has an identifier unique to the online signing server (OSU), e.g., an International Mobile Equipment Identity (IMEI) number, a WiFi Medium Access Control (MAC) address, Lt; RTI ID = 0.0 > ID < / RTI > In such embodiments, the OSU may require that the identity provided in a subsequent certificate signing request (CSR) match the identity provided during registration, thereby preventing another device from pretending as a registered device.
먼저, 도 1을 참조하면, 예를 들어, HS2.0 표준 및 본 명세서에서 설명되는 다양한 실시예들에 따라 무선 접속을 제공하도록 구성되는 통신 네트워크와 같은 시스템(100)이 예시된다. 시스템(100)은 본 명세서에서 제한없이 동의어로서 네트워크(100)로 지칭될 수 있다. 이전에 기술된 바와 같이, 시스템(100)의 실시예들은 HS2.0 표준으로 제한되지 않는다. 시스템(100)은 네트워크(105), 예를 들어, 서비스 제공자 네트워크(SPN) 및 핫스팟(110), 예를 들어, Wi-Fi 액세스 네트워크(WAN)를 포함한다. 네트워크(105)는, 인증, 인가 및 과금(AAA) 서버(115), 정책 서버(120), 가입 교정 서버(125) 및 온라인 서명(OSU) 서버(130)를 포함한다. OSU 서버(130)는 CA 서버(135)에 접속된다. 서버들(115, 120, 125, 130)은 미참조 데이터 경로를 통해 서비스 제공자 코어 서비스 제공자(SP) 네트워크(140)에 접속되고, 그 다음, SP 네트워크(140)는 인터넷(145)에 접속된다.First, referring to FIG. 1, a system 100 is illustrated, such as a communications network configured to provide wireless connectivity, for example, in accordance with the HS 2.0 standard and various embodiments described herein. System 100 may be referred to herein as network 100 as a synonym without limitation. As previously described, embodiments of the system 100 are not limited to the HS2.0 standard. The system 100 includes a network 105, e.g., a service provider network (SPN) and a hotspot 110, e.g., a Wi-Fi access network (WAN). The network 105 includes an authentication, authorization and accounting (AAA)
다양한 실시예들에서, OSU(130)는 온라인 서명 서버로서의 동작을 위해 HS2.0 표준에 따른다. 따라서, OSU(130)는, 네트워크(100)로의 액세스에 대해 등록하기 위해 무선 디바이스들에 등록 서비스들을 제공한다. 본 발명의 실시예들은, 그 중에서도, HS2.0 액세스를 위한 온라인 인증서 등록의 프로세스를 보호하기 위한 시스템들을 제공한다.In various embodiments, the
핫스팟(110)은 HTTP 서버(150) 및 AAA 서버(155)를 포함한다. 서버들(150 및 155)은 각각 무선 액세스 네트워크에 접속되고, 여기서 액세스 제어 리스트(ACL)가 제 1 라우터(160)에서 적용된다. 제 1 라우터(160)는 제 2 라우터(165)에 접속되고, 그 다음, 제 2 라우터(165)는 예를 들어, 무선 액세스 노드에서 무선 주파수(RF) 트랜시버(170)에 접속된다. 핫스팟(110)은 SP 네트워크(140)와 제 1 라우터(160) 사이에서 미참조 데이터 경로를 통해 네트워크(105)에 접속된다. 사용자(175)는, 본 명세서에서 그리고 청구항들에서 때때로 클라이언트 디바이스(180)로 지칭되는 모바일 네트워크 액세스 디바이스(180)를 통해 인터넷(145)으로의 액세스를 획득할 수 있다. 용어 "클라이언트 디바이스"는, 모바일 폰 핸드셋들과 같이, 관련 분야의 당업자들에 의해 때때로 "사용자 장비" 또는 UE로 지칭되는 디바이스들을 포함한다. 클라이언트 디바이스(180)는, 예를 들어, 스마트 폰, 개인 휴대 정보 단말(PDA), 넷북, 노트북 또는 태블릿 컴퓨터, 랩탑 컴퓨터, 또는 RF 트랜시버(170)를 통해 핫스팟(110)과의 무선 데이터 접속을 협상 및 유지하도록 구성되는 유사한 디바이스일 수 있거나 이들을 포함할 수 있다. 다양한 실시예들에서, 클라이언트 디바이스(180)는 WiFi 네트워크와 통신할 수 있고, 몇몇 실시예들에서는 셀룰러 네트워크와 또한 통신할 수 있다. 몇몇 경우들에서, 클라이언트 디바이스(180)는 셀룰러 통신 네트워크와 통신하는 능력이 없는, 예를 들어, "WiFi 전용"이다. 본 명세서에서, "모바일" 디바이스는, 기계적인 보조없이 인간에 의해 통상적으로 이동되도록 구성되는 디바이스이다. 이러한 문맥에서, 기계적 보조는, 백팩들, 책가방들, 서류 가방들 등과 같은 개인용 조직 디바이스들을 배제한다.The hotspot 110 includes an HTTP server 150 and an AAA server 155. Servers 150 and 155 are each connected to a radio access network, where an access control list (ACL) is applied at first router 160. The first router 160 is connected to a second router 165 and the second router 165 is then connected to a radio frequency (RF) transceiver 170, for example, from a radio access node. The hotspot 110 is connected to the network 105 via an unreferenced data path between the SP network 140 and the first router 160. The user 175 may obtain access to the Internet 145 through the mobile network access device 180, which is referred to herein and in the claims as the client device 180 at times. The term "client device" includes devices sometimes referred to as "user equipment" or UE by those skilled in the relevant art, such as mobile phone handsets. The client device 180 may provide wireless data connection to the hotspot 110 via a smart phone, personal digital assistant (PDA), netbook, notebook or tablet computer, laptop computer, or RF transceiver 170 ≪ / RTI > and / or may be a similar device that is configured to negotiate and maintain. In various embodiments, the client device 180 is capable of communicating with the WiFi network and, in some embodiments, also with the cellular network. In some cases, the client device 180 is, for example, "WiFi dedicated" without the ability to communicate with the cellular communication network. As used herein, a "mobile" device is a device that is typically configured to be moved by a human without mechanical assistance. In this context, mechanical assistance excludes personal organizational devices such as backpacks, backpacks, briefcases, and the like.
도 2는, 다양한 실시예들에 따라 동작하도록 구성되는 장치(200), 예를 들어, 클라이언트 디바이스(180)를 예시한다. 당업자들은, 장치(200)의 하기 설명이 많은 가능한 구현들을 대표하는 것임을 인식할 것이다. 게다가, 장치(200)의 다양한 기능들이 편의를 위해 이산적 기능 블록들로 설명될 수 있지만, 당업자들은, 이러한 기능들이 장치(200) 내의 다양한 컴포넌트들 사이에 분산될 수 있고, 몇몇 경우들에서는 공유된 컴포넌트들에 의해 구현될 수 있음을 인식할 것이다.2 illustrates an
예시적인 실시예에서, 장치(200)는 트랜시버(210), 프로세서(220) 및 메모리(230)를 포함한다. 트랜시버(210)는 안테나(240)에 커플링되고, 안테나(240)를 통해 RF 신호들을 수신 및/또는 송신하도록 동작한다. 프로세서(220)는, 송신된 RF 신호들을 변조 및 인코딩하고 그리고/또는 수신된 RF 신호들을 복조 및 디코딩하기 위해 트랜시버(210) 및 메모리(230)와 협력하여 동작한다. 트랜시버(210), 프로세서(220) 및 메모리(230)는 본 개시의 범주 내의 실시예들의 예외로, 종래의 것일 수 있다. 메모리(230)는 유형의(tangible) 비일시적 저장 매체, 예를 들어, RAM, ROM, 플래쉬 메모리 등일 수 있다. 메모리(230)는, 아래에서 설명되는 다양한 실시예들, 예를 들어, 방법들(400 및 500)을 구현하도록 구성되는 단계들, 예를 들어, 명령들을 포함한다.In an exemplary embodiment, the
도 3은, 다양한 실시예들에 따라 동작하도록 구성되는, 예를 들어, AAA 서버(115), OSU 서버(130) 및 CA 서버(135)를 대표하는 장치(300)를 예시한다. 당업자들은, 장치(300)의 하기 설명이 또한 많은 가능한 구현들을 대표함을 인식할 것이다. 게다가, 장치(300)의 다양한 기능들이 편의를 위해 이산적 기능 블록들로 설명될 수 있지만, 당업자들은, 이러한 기능들이 장치(300) 내의 다양한 컴포넌트들 사이에 분산될 수 있고, 몇몇 경우들에서는 공유된 컴포넌트들에 의해 구현될 수 있음을 인식할 것이다.FIG. 3 illustrates an
예시된 실시예에서, 장치(300)는 네트워크 인터페이스(310), 프로세서(320) 및 메모리(330)를 포함한다. 네트워크 인터페이스(310)는, 네트워크(340), 예를 들어, 로컬 영역 네트워크 또는 인터넷을 통해 데이터를 수신 및/또는 송신하도록 동작한다. 프로세서(320)는, 네트워크로의 송신을 위해 데이터를 포맷하고 그리고/또는 네트워크로부터 데이터를 수신하기 위해 네트워크 인터페이스(310) 및 메모리(330)와 협력하여 동작한다. 네트워크 인터페이스(310), 프로세서(320) 및 메모리(330)는 본 개시의 범주 내의 실시예들의 예외로, 종래의 것일 수 있다. 메모리(330)는 유형의 비일시적 저장 매체, 예를 들어, RAM, ROM, 플래쉬 메모리, 자기 디스크, 광학 디스크 등일 수 있다. 메모리(330)는, 아래에서 설명되는 다양한 실시예들, 예를 들어, 방법들(400 및 500)을 구현하도록 구성되는 단계들, 예를 들어, 명령들을 포함한다.In the illustrated embodiment, the
도 4는, 예를 들어, 네트워크(105)로부터 네트워크 서비스들을 수신하기 위해 클라이언트 디바이스(180)를 인증하기 위한 방법(400)을 예시한다. 방법(400)의 몇몇 양상들은, 다양한 표준들, 예를 들어, 미국 MA Bedford의 RSA Security, Inc 또는 IETF에 의해 개발 및/또는 배포된 공개 키 암호화 표준(PKCS), 예를 들어, RFC5280에 의해 설명될 수 있고, 이는, 그 전체가 참조로 본 명세서에 통합된다. 방법(400)은 클라이언트(410), OSU 서버(130), AAA 서버(115) 및 CA 서버(135) 사이의 상호작용을 설명한다. 클라이언트(410)는, 클라이언트 디바이스(180), 예를 들어, 스마트 폰, PDA, 넷북, 노트북 또는 태블릿 컴퓨터 또는 랩탑 컴퓨터의 다양한 실시예들을 대표한다. 방법(400)의 다양한 단계들은, 예를 들어, 장치(200)의 예(예를 들어, 클라이언트 디바이스(180)), 및 장치(300)의 다수의 예들(예를 들어, OSU 서버(130), AAA 서버(115) 및 CA 서버(135))에 의해 구현될 수 있다.4 illustrates a
단계(430)에서, 클라이언트(410)는, 예를 들어, 핫스팟(110) 제공자와 연관된 리스트 엘리먼트로부터의 기본적인 URI(uniform resource identifier)에 대한 HTTPS 또는 HTTP GET 요청을 발행함으로써, OSU 서버(130)에 인증서 요청을 발행한다. 단계(435)에서, OSU 서버(130)는 인증서 요청을 CA 서버(135)에 포워딩한다. CA 서버(135)는 단계(440)에서, 요청된 인증서를 OSU 서버(130)에 리턴한다. 이러한 인증서는 본 명세서에서 인증서 기관 인증서 또는 더 간략하게 CA 인증서로서 지칭될 수 있고, 때때로 루트 인증서로서 지칭될 수 있다.At 430, the
단계(445)에서, OSU 서버(130)는 CA 인증서를 클라이언트(410)에 리턴한다. CA 인증서는, 예를 들어, X.509 인증서일 수 있다. 일 실시예에서, OSU 서버(130)는 "application/pkcs7-mime" 포맷의 "퇴보" 서트(certs)-전용 PKCS7 메시지를 갖는 CA 인증서를 제공한다. 그 다음, 단계(450)에서 클라이언트(410)는, 네트워크 액세스 표준, 예시적으로, HS2.0과 같은 핫스팟 액세스 표준(그러나, 이러한 표준에 제한되는 것은 아님)을 지정하는 미리결정된 파라미터 값을 포함하는 인증서 서명 요청을 OSU 서버(130)에 전송한다. 표준은 PKCS10 메시지의 EKU_key_purpose 필드를 통해 전달될 수 있다. 이러한 값은 하기 논의에서, 제한없이 "HS2.0"으로 지칭될 수 있다. 이러한 문맥에서, 핫스팟 액세스 표준은, 모바일 디바이스와 WiFi 네트워크 아키텍쳐 사이의 통신의 설정 및/또는 유지보수를 위한 프로토콜들을 특정하는 표준이다. 다양한 실시예들에서, OSU 서버(130)에 의해 전송된 메시지는 PKCS10 표준에 따른다. 제한없이, EKU_key_purpose 필드의 값은 "id-kp-HS2.0Auth"로 설정될 수 있다.At
도 6은, PKCS 메시지(600), 예를 들어, PKCS10 메시지의 일부를 개략적으로 예시한다. 메시지(600)는 몇몇 파라미터 필드들을 포함한다. 대상 파라미터 필드(610)는, 클라이언트 인증서를 제공하기 위해 CA(135)에 의한 추후의 이용을 위한 값을 제공한다. IETF RFC5280 표준에 의해 제공되는 EKU_key_purpose 파라미터 필드(620)는, 클라이언트(410)에 의한 네트워크 액세스 요청이 적용가능한 핫스팟 표준, 예를 들어, HS2.0 내에서 수행되도록 의도된다는 것을 특정하는 메커니즘을 제공한다. 물론, 필드(620)는, 클라이언트 디바이스(180)와 네트워크(105) 사이의 통신이 수행될 표준을 전달하는 임의의 적절한 값을 포함할 수 있다.6 schematically illustrates a portion of a
그 다음, 도 4로 되돌아가서, 단계(455)에서 OSU 서버(130)는, 클라이언트 인증서를 등록하기 위한 요청을 CA 서버(135)에 전송한다. 요청은, OSU 서버(130)에 의해 수신되는 대상 파라미터 필드(610)의 값, 예를 들어, EKU_key_purpose=HS2.0 을 포함한다.Next, returning to Fig. 4, at
단계(460)에서, CA 서버(135)는 등록된 인증서를 OSU 서버(130)에 리턴한다. 등록된 인증서는 본 명세서에서 클라이언트 인증서로서 지칭될 수 있다.At
도 7은, 다양한 실시예들에 따라 구성되는 클라이언트 인증서(700)를 개략적으로 예시한다. 클라이언트 인증서(700)는 대상 파라미터(705) 및 EKU 리스트(710)를 포함한다. EKU 리스트(710)는, keyPurposeID 파라미터(720) 및 위험성 파라미터(730)를 포함하는 다양한 추가적인 파라미터들을 포함하고, 이들 각각은 아래에서 추가로 설명된다.FIG. 7 schematically illustrates a
클라이언트 인증서(700)는, PKCS 메시지(600)(도 6)의 파라미터 필드(620)를 통해 이전에 제공된 값을 keyPurposeID 파라미터(720)에 포함시킨다. keyPurposeID 파라미터(720)는, 단계(450)에서 특정된 것과 동일한 값, 예를 들어, id-kp-H2.0Auth을 가질 수 있다. 선택적으로, 클라이언트 인증서(700)는 "위험" 지정을 포함한다. 이 지정은, 클라이언트 인증서(700)의 위험성 파라미터(730)가 값 "위험"으로 설정된 것으로 개략적으로 도시된다. "위험" 지정은, 연관된 EKU 리스트(710)의 프로세싱이 인증서 프로세싱 엔티티, 예를 들어 OSU(130)에 의해 강제적임을 나타내는데 이용될 수 있다.The
도 4로 되돌아가서, 단계(465)에서, OSU 서버(130)는 클라이언트(410)에 클라이언트 인증서를 제공한다. 단계(470)에서, 클라이언트(410)는, AAA 서버(115)에 클라이언트 인증서를 제시함으로써 핫스팟 네트워크에 액세스하려 시도한다. 클라이언트(410)는, 네트워크 액세스를 설정하기 위해, 예를 들어, EAP-TLS(extensible authentication protocol-transport layer security) 프로토콜을 이용할 수 있다.Returning to Fig. 4, at
선택적인 단계(475)에서, AAA 서버(115)는, 클라이언트 인증서가 폐지되었는지를 결정하기 위한 메시지를 CA 서버(135)에 전송한다. 클라이언트 인증서가 폐지되지 않았으면, 단계(480)에서, CA 서버(135)는, 인증서가 폐지되지 않았음을 나타내도록 응답한다. 단계(485)에서, AAA 서버(115)는 클라이언트 인증서에 대한 추가적인 체크들을 수행할 수 있다. 예를 들어, AAA 서버(115)는, 서명된 인증서의 지정된 목적, 예를 들어, id-kp-H2.0Auth이 미리 정의된 허용된 목적인 것을 검증할 수 있다. 단계(485)는 단계들(475/480)의 완료 이후에 발생하는 것으로 도시되어 있지만, 실시예들은 단계들의 이러한 순서에 제한되지 않는다.At
단계(485)에서, AAA 서버(115)는 하기 동작들 중 하나 이상을 수행할 수 있다. 먼저, AAA 서버(115)는 인증서 무결성을 검증함으로써 클라이언트 인증서를 인증할 수 있다. 이것은, 예를 들어, 먼저 인증서 컨텐츠의 일방향 해시(hash)를 생성함으로써 행해질 수 있다. 몇몇 실시예들에서, 이것은, 클라이언트 인증서에 표시된 해시 알고리즘을 이용하여 행해질 수 있다. 이러한 경우들에서, 해시 값은, 예를 들어, 메모리에 임시로 저장될 수 있다. 다음으로, 클라이언트 인증서에 내장된 디지털 서명이, 인증서에 포함된 공개 키를 이용하여 암호해독될 수 있다. CA 서버(135)가 클라이언트 인증서를 발행하는 다른 실시예들에서, 공개 키는 CA 루트 인증서로부터 이용될 수 있다. 해시 값들이 매칭하면, AAA 서버(115)는, 클라이언트 인증서가 생성된 이후 변경되지 않았다고 결론낼 수 있다. AAA 서버(115)는 또한, 클라이언트 인증서가 여전히 유효한지를 결정하기 위해 OCSP(Online Certificate Status Protocol)를 체크할 수 있다. AAA 서버(115)는 또한, 단계(485)에서, EKU_key_purpose 필드, 예를 들어, keyPurposeID 파라미터(720)가 적절히 리포팅된다고 결정할 수 있다. 이전에 설명된 바와 같이, keyPurposeID 파라미터(720)의 컨텐츠는, 클라이언트 디바이스(180)에 대해 승인된 액세스를 결정할 수 있다. 따라서, 이전의 예를 제한없이 계속하기 위해, 이 값이 "id-kp-HS2.0Auth"인 경우, 클라이언트 디바이스(180)는 인터넷(145)에 대한 액세스를 인증받을 수 있지만, 다른 활동들, 예를 들어, 이메일 및/또는 VPN(이에 제한되지 않음)에 대한 특권들을 승인받지는 못할 수 있다.At
마지막으로, 단계(490)에서, 클라이언트 인증서 및 지정된 목적이 유효하면, AAA 서버(115)는, 네트워크 액세스가 승인된다고 나타내는 메시지를 클라이언트(410)에 전달한다. 이 메시지는 EAP-TLS 프로토콜을 통해 다시 전달될 수 있다.Finally, at
도 5는, 예를 들어, 클라이언트(410)(예를 들어, 클라이언트 디바이스(180))에 의한 네트워크(105)로의 액세스를 승인하는 추가적인 양상들을 포함하는 방법(500) 실시예를 예시한다. 이 실시예에서, 인증서, 예를 들어, X.509 인증서의 대상 필드는, 클라이언트 디바이스(180)를 식별하는 식별 데이터, 예를 들어, IMEI 번호, MEID 번호, WiFi MAC 어드레스 또는 고유 디바이스 ID에 의해 파퓰레이트된다. 하기 단계들의 예외로, 방법(500)의 단계들은 방법(400)에 대해 설명된 것과 같을 수 있다.5 illustrates an embodiment of a
단계(510)에서, 클라이언트(410)는, 식별 데이터, 예를 들어, "deviceID" 또는 "DeviceInfo"를 메시지를 통해 OSU 서버(130)에 제공한다. 메시지는, 예를 들어, HTTPS 프로토콜에 의해 전달될 수 있다. OSU(130)는 식별 데이터를 데이터베이스에 레코딩할 수 있다. 클라이언트 디바이스(180)는, 식별 파라미터를, 단계(450)에서 OSU(130)에 전송되는 인증서 요청에 대상 명칭으로서 포함시킬 수 있고, CA 서버(135)는 단계(460)에서 제공되는 클라이언트 인증서를 이용하여 대상 명칭을 포함할 것이다. 대안적인 실시예에서, 클라이언트 디바이스(180)는 인증서 서명 요청의 SubjectAltName 필드를 통해 식별 파라미터를 제공할 수 있다. 다른 대안적인 실시예에서, OSU(130)는, 임의의 지원되는 통신 프로토콜을 이용함으로써 클라이언트 디바이스(180)로부터 식별 데이터를 획득할 수 있다. 단계(520)에서, OSU(130)는, 대상 명칭에서 특정된 식별 데이터가, 단계(450)의 인증서 요청에서 클라이언트 디바이스(180)에 의해 제공된 디바이스 아이덴티티에 매칭하는 것을 검증할 수 있다. 몇몇 실시예들에서, OSU(130)는 임의의 지원되는 프로토콜을 이용하여 클라이언트 디바이스(180)에 문의할 수 있고, 특정된 디바이스 식별 데이터가 클라이언트 디바이스(180)에 의해 리턴된 디바이스 식별 데이터에 매칭하는 것을 검증할 수 있다. 어느 경우이든, 이러한 아이덴티티 체크는, 가능한 악의적인 디바이스가 클라이언트 디바이스(180)로서 가장하는 것을 방지할 수 있다. 단계(520)에서, 디바이스 식별 체크가 우호적이면, OSU 서버(130)는 단계(455)의 인증서 등록 요청에 식별 데이터를 포함시킬 수 있다. 그 다음, CA 서버(135)는, 클라이언트 인증서(700)(도 7)로 예시된 바와 같이, 단계(460)에서 발행되는 인증서의 대상 파라미터(705)에 식별 데이터를 포함시킬 수 있다.At
인증서 서명 요청이 유효한 것으로 검증되면, OSU(130)는, HS2.0 규격에서 특정된 다른 규칙들에 따라 디바이스 인증서의 인증을 위한 등록 프로세스로 진행할 수 있다. 또한, CA 서버(135) 인프라구조와 함께 동작하는 OSU(130)는, 발행된 X.509 인증서에 포함된 EKU 리스트(710)에 'id-kp-HS2.0Auth' 오브젝트, 또는 유사한 목적을 서빙하는 다른 유사한 오브젝트가 포함되는 것을 보장할 수 있다.If the certificate signing request is verified to be valid, the
본 발명의 다수의 실시예들이 첨부된 도면들에서 예시되고 상기 상세한 설명에서 설명되었지만, 본 발명은 개시된 실시예들에 제한되는 것이 아니라, 하기 청구항들에 의해 기술되고 정의되는 발명으로부터 벗어남이 없이 다수의 재배열들, 변형들 및 대체들이 가능함을 이해해야 한다.While the present invention has been shown and described in detail in the drawings, it is to be understood that the invention is not limited to the disclosed embodiments, but is capable of many and many different embodiments without departing from the invention as described and defined by the following claims Rearrangements, variations, and substitutions of the present invention are possible.
Claims (18)
상기 인증서 서명 요청이 미리결정된 값과 동일한 네트워크 액세스 표준을 포함한다는 조건으로, 상기 인증서 서명 요청을 인증서 발행 기관에 포워딩하는 단계를 포함하는
방법.
Receiving a certificate signing request from a mobile network access device at a server;
Forwarding the certificate signing request to a certificate issuing authority, provided that the certificate signing request includes a network access standard that is the same as the predetermined value
Way.
상기 모바일 네트워크 액세스 디바이스로부터의 인증서 서명 요청을 수신하고, 디바이스 식별 데이터를 포함하는 메시지가 상기 모바일 네트워크 액세스 디바이스로부터 이전에 수신되었다는 조건으로, 상기 인증서 서명 요청을 상기 인증서 발행 기관에 포워딩하는 단계를 더 포함하는
방법.
The method according to claim 1,
Receiving a certificate signing request from the mobile network access device, and forwarding the certificate signing request to the certificate issuing authority, provided that a message containing device identification data has previously been received from the mobile network access device Included
Way.
상기 미리결정된 값은 핫스팟 2.0(HS2.0) 또는 그 후의 표준을 특정하는
방법.
The method according to claim 1,
Wherein the predetermined value specifies a hotspot 2.0 (HS2.0) or a later standard
Way.
상기 미리결정된 값은 확장된 키 용도(EKU) 키 목적 필드를 통해 전달되는
방법.
The method according to claim 1,
The predetermined value is passed through an extended key usage (EKU) key purpose field
Way.
상기 네트워크 서버에 의해 상기 액세스 인증서와 연관된 키 목적을 결정하는 단계와,
상기 키 목적이 미리결정된 키 목적이라는 조건으로, 상기 네트워크 서버에 의해, 상기 클라이언트에 네트워크 서비스에 대한 액세스를 승인하는 단계를 포함하는
방법.
Receiving, by a network server, a network access request from a client via a network, the access request including an access certificate;
Determining a key objective associated with the access certificate by the network server;
Accepting, by the network server, access to the network service to the client on condition that the key objective is a predetermined key objective
Way.
상기 미리결정된 키 목적은 핫스팟 네트워크로의 액세스인
방법.
6. The method of claim 5,
Wherein the predetermined key objective is an access to the hotspot network
Way.
상기 핫스팟 네트워크는 핫스팟(HS2.0) 또는 그 후의 네트워크 표준에 따르는
방법.
The method according to claim 6,
The hotspot network may be a hotspot (HS2.0)
Way.
상기 방법은, 상기 클라이언트에 의해 제공된 인증서가 폐지(revoked)되었다고 인증서 기관이 결정하는 조건으로, 상기 클라이언트에 대한 네트워크 액세스를 거부하는 단계를 더 포함하는
방법.
6. The method of claim 5,
The method further comprises refusing network access to the client on condition that the certificate authority determines that the certificate provided by the client has been revoked
Way.
상기 액세스 인증서는 확장된 키 용도 필드에 상기 키 목적을 포함하는
방법.
6. The method of claim 5,
Wherein the access certificate includes an expiration key that includes the key purpose in an extended key usage field
Way.
상기 인증서 등록 요청이 미리결정된 값과 동일한 네트워크 액세스 표준을 포함한다는 조건으로, 상기 인증서 기관 서버에 의해, 서명된 네트워크 액세스 인증서를 상기 모바일 네트워크 액세스 디바이스에 제공하는 단계를 포함하는
방법.
Receiving a certificate enrollment request from a mobile network access device at a certificate authority server over a network;
Providing, by the certificate authority server, a signed network access certificate to the mobile network access device, provided that the certificate enrollment request includes a network access standard that is the same as the predetermined value
Way.
상기 서명된 네트워크 액세스 인증서는, 모바일 네트워크 액세스 디바이스를 식별하는 디바이스 식별 데이터를 포함하는
방법.
11. The method of claim 10,
The signed network access certificate comprising device identification data identifying the mobile network access device
Way.
네트워크 액세스 표준 지정은 핫스팟 2.0(HS2.0) 또는 그 후의 표준을 특정하는
방법.
11. The method of claim 10,
The network access standard specification specifies the hotspot 2.0 (HS2.0) or later standard
Way.
네트워크 액세스 표준 지정은, 상기 서명된 네트워크 액세스 인증서의 EKU_key_purpose 필드에서 전달되는
방법.
11. The method of claim 10,
The network access standard specification is transmitted in the EKU_key_purpose field of the signed network access certificate
Way.
상기 모바일 네트워크 액세스 디바이스에 의해, 인증서 서명 요청을 서비스 제공자 네트워크 서버에 전송하는 단계 ―상기 인증서 서명 요청은 네트워크 액세스 표준 지정을 포함함―와,
상기 네트워크 액세스 표준 지정을 포함하는 서명된 액세스 인증서를 상기 모바일 네트워크 액세스 디바이스에서 수신하는 단계를 포함하는
방법.
Receiving, by a mobile network access device, a certificate for access to a service provider network;
Sending, by the mobile network access device, a certificate signing request to a service provider network server, the certificate signing request comprising a network access standard specification;
And receiving at the mobile network access device a signed access certificate comprising the network access standard specification
Way.
상기 모바일 네트워크 액세스 디바이스에 의해, 디바이스 식별 데이터를 네트워크 액세스 서버에 제공하는 단계를 더 포함하고,
상기 서명된 액세스 인증서는 상기 디바이스 식별 데이터를 포함하는
방법.
15. The method of claim 14,
Further comprising, by the mobile network access device, providing device identification data to a network access server,
Wherein the signed access certificate comprises the device identification data
Way.
상기 디바이스 식별 데이터는 상기 서명된 액세스 인증서의 대상 필드(a subject field)에서 전달되는
방법.
16. The method of claim 15,
The device identification data is conveyed in a subject field of the signed access certificate
Way.
상기 네트워크 액세스 표준 지정은 핫스팟 2.0(HS2.0) 또는 그 후의 표준을 특정하는
방법.
15. The method of claim 14,
The network access standard specification specifies the hotspot 2.0 (HS2.0) or later standard
Way.
상기 네트워크 액세스 표준 지정은, 상기 서명된 액세스 인증서의 EKU_key_purpose 필드에서 전달되는
방법.15. The method of claim 14,
The network access standard specification is transmitted in the EKU_key_purpose field of the signed access certificate
Way.
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201261726009P | 2012-11-13 | 2012-11-13 | |
US61/726,009 | 2012-11-13 | ||
US13/930,682 | 2013-06-28 | ||
US13/930,682 US9232400B2 (en) | 2012-11-13 | 2013-06-28 | Restricted certificate enrollment for unknown devices in hotspot networks |
PCT/US2013/068716 WO2014078147A1 (en) | 2012-11-13 | 2013-11-06 | Restricted certificate enrollment for unknown devices in hotspot networks |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20150069001A true KR20150069001A (en) | 2015-06-22 |
KR101701793B1 KR101701793B1 (en) | 2017-02-02 |
Family
ID=50682189
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020157012468A KR101701793B1 (en) | 2012-11-13 | 2013-11-06 | Restricted certificate enrollment for unknown devices in hotspot networks |
Country Status (6)
Country | Link |
---|---|
US (2) | US9232400B2 (en) |
EP (1) | EP2920939B1 (en) |
JP (2) | JP6086987B2 (en) |
KR (1) | KR101701793B1 (en) |
CN (2) | CN104956638B (en) |
WO (1) | WO2014078147A1 (en) |
Families Citing this family (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8914628B2 (en) | 2009-11-16 | 2014-12-16 | At&T Intellectual Property I, L.P. | Method and apparatus for providing radio communication with an object in a local environment |
US9571482B2 (en) | 2011-07-21 | 2017-02-14 | Intel Corporation | Secure on-line sign-up and provisioning for Wi-Fi hotspots using a device management protocol |
CN103813330A (en) * | 2012-11-15 | 2014-05-21 | 中兴通讯股份有限公司 | Communication terminal and system and authority management method |
US9307408B2 (en) | 2012-12-27 | 2016-04-05 | Intel Corporation | Secure on-line signup and provisioning of wireless devices |
US9414216B1 (en) * | 2013-03-15 | 2016-08-09 | Leidos, Inc. | Method and system for multiple carrier resource allocation in LTE-advanced networks |
US9800581B2 (en) * | 2014-03-14 | 2017-10-24 | Cable Television Laboratories, Inc. | Automated wireless device provisioning and authentication |
JP6168415B2 (en) * | 2014-05-27 | 2017-07-26 | パナソニックIpマネジメント株式会社 | Terminal authentication system, server device, and terminal authentication method |
US9584492B2 (en) * | 2014-06-23 | 2017-02-28 | Vmware, Inc. | Cryptographic proxy service |
US10930101B2 (en) | 2014-08-27 | 2021-02-23 | Ncr Corporation | Self-service terminal (SST) safe and methods of operating a lock for the SST safe |
US9825937B2 (en) | 2014-09-23 | 2017-11-21 | Qualcomm Incorporated | Certificate-based authentication |
US20160110833A1 (en) * | 2014-10-16 | 2016-04-21 | At&T Mobility Ii Llc | Occupancy Indicator |
US10104544B2 (en) | 2016-04-05 | 2018-10-16 | Qualcomm Incorporated | LTE-level security for neutral host LTE |
US10142323B2 (en) * | 2016-04-11 | 2018-11-27 | Huawei Technologies Co., Ltd. | Activation of mobile devices in enterprise mobile management |
CN109076058B (en) * | 2016-05-27 | 2020-09-29 | 华为技术有限公司 | Authentication method and device for mobile network |
US11765154B2 (en) * | 2016-07-26 | 2023-09-19 | Verizon Patent And Licensing Inc. | Securely provisioning a service to a customer equipment |
US11165591B2 (en) * | 2016-09-08 | 2021-11-02 | Cable Television Laboratories, Inc. | System and method for a dynamic-PKI for a social certificate authority |
US10897709B2 (en) | 2016-12-09 | 2021-01-19 | Arris Enterprises Llc | Wireless network authorization using a trusted authenticator |
JP7208707B2 (en) | 2017-02-17 | 2023-01-19 | キヤノン株式会社 | Information processing device and its control method and program |
EP3785398B1 (en) * | 2018-04-26 | 2022-04-20 | SECLOUS GmbH | Methods for multi-factor access control in anonymous systems |
US11997205B2 (en) | 2019-02-25 | 2024-05-28 | Tbcasoft, Inc. | Credential verification and issuance through credential service providers |
KR102394001B1 (en) | 2019-04-29 | 2022-05-02 | 한국전기연구원 | Gas heat exchanger for thermoelectric power generation |
WO2023154071A1 (en) * | 2022-02-14 | 2023-08-17 | Rakuten Mobile, Inc. | Enhanced authentication procedure for o-ran network elements |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5386104A (en) * | 1993-11-08 | 1995-01-31 | Ncr Corporation | System and method for detecting user fraud in automated teller machine transactions |
WO2001022651A2 (en) * | 1999-09-20 | 2001-03-29 | Ethentica, Inc. | Cryptographic server with provisions for interoperability between cryptographic systems |
US20080016336A1 (en) * | 2006-07-17 | 2008-01-17 | Nokia Corporation | Generic public key infrastructure architecture |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5982898A (en) * | 1997-03-07 | 1999-11-09 | At&T Corp. | Certification process |
US6327578B1 (en) * | 1998-12-29 | 2001-12-04 | International Business Machines Corporation | Four-party credit/debit payment protocol |
AU5084500A (en) * | 1999-05-21 | 2000-12-12 | International Business Machines Corporation | Method and apparatus for initializing secure communications among, and for exclusively pairing wireless devices |
ITRM20020335A1 (en) * | 2002-06-14 | 2003-12-15 | Telecom Italia Mobile Spa | SELF-REGISTRATION METHOD AND AUTOMATED RELEASE OF DIGITAL CERTIFICATES AND RELATED NETWORK ARCHITECTURE THAT IMPLEMENTS IT. |
JP4628684B2 (en) * | 2004-02-16 | 2011-02-09 | 三菱電機株式会社 | Data transmitting / receiving apparatus and electronic certificate issuing method |
US20060002556A1 (en) * | 2004-06-30 | 2006-01-05 | Microsoft Corporation | Secure certificate enrollment of device over a cellular network |
CN101123501A (en) * | 2006-08-08 | 2008-02-13 | 西安电子科技大学 | A WAPI authentication and secret key negotiation method and system |
CN101056177B (en) * | 2007-06-01 | 2011-06-29 | 清华大学 | Radio mesh re-authentication method based on the WLAN secure standard WAPI |
TWI426762B (en) * | 2008-08-04 | 2014-02-11 | Ind Tech Res Inst | Method and system for managing network identity |
US8296563B2 (en) * | 2008-10-22 | 2012-10-23 | Research In Motion Limited | Method of handling a certification request |
US8327424B2 (en) * | 2009-12-22 | 2012-12-04 | Motorola Solutions, Inc. | Method and apparatus for selecting a certificate authority |
US9225525B2 (en) * | 2010-02-26 | 2015-12-29 | Red Hat, Inc. | Identity management certificate operations |
KR101644723B1 (en) * | 2011-09-09 | 2016-08-01 | 인텔 코포레이션 | Mobile device and method for secure on-line sign-up and provisioning for wi-fi hotspots using soap-xml techniques |
-
2013
- 2013-06-28 US US13/930,682 patent/US9232400B2/en active Active
- 2013-11-06 WO PCT/US2013/068716 patent/WO2014078147A1/en active Application Filing
- 2013-11-06 EP EP13795091.1A patent/EP2920939B1/en active Active
- 2013-11-06 JP JP2015541876A patent/JP6086987B2/en active Active
- 2013-11-06 KR KR1020157012468A patent/KR101701793B1/en active IP Right Grant
- 2013-11-06 CN CN201380058802.1A patent/CN104956638B/en active Active
- 2013-11-06 CN CN201810200297.4A patent/CN108183803B/en active Active
-
2015
- 2015-12-22 US US14/979,315 patent/US9660977B2/en active Active
-
2017
- 2017-01-30 JP JP2017013834A patent/JP2017126987A/en active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5386104A (en) * | 1993-11-08 | 1995-01-31 | Ncr Corporation | System and method for detecting user fraud in automated teller machine transactions |
WO2001022651A2 (en) * | 1999-09-20 | 2001-03-29 | Ethentica, Inc. | Cryptographic server with provisions for interoperability between cryptographic systems |
US20080016336A1 (en) * | 2006-07-17 | 2008-01-17 | Nokia Corporation | Generic public key infrastructure architecture |
Also Published As
Publication number | Publication date |
---|---|
CN108183803B (en) | 2021-04-16 |
US9232400B2 (en) | 2016-01-05 |
JP2017126987A (en) | 2017-07-20 |
US9660977B2 (en) | 2017-05-23 |
EP2920939A1 (en) | 2015-09-23 |
KR101701793B1 (en) | 2017-02-02 |
US20160134622A1 (en) | 2016-05-12 |
WO2014078147A1 (en) | 2014-05-22 |
JP6086987B2 (en) | 2017-03-01 |
US20140134980A1 (en) | 2014-05-15 |
CN104956638A (en) | 2015-09-30 |
EP2920939B1 (en) | 2019-09-18 |
JP2015537471A (en) | 2015-12-24 |
CN104956638B (en) | 2018-04-17 |
CN108183803A (en) | 2018-06-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101701793B1 (en) | Restricted certificate enrollment for unknown devices in hotspot networks | |
JP6612358B2 (en) | Method, network access device, application server, and non-volatile computer readable storage medium for causing a network access device to access a wireless network access point | |
CN108028758B (en) | Method and apparatus for downloading profiles in a communication system | |
US20230070253A1 (en) | Methods and systems for authenticating devices using 3gpp network access credentials for providing mec services | |
EP3562184B1 (en) | Technique for managing profile in communication system | |
JP6752218B2 (en) | Methods and devices for managing terminal profiles in wireless communication systems | |
US12074883B2 (en) | Systems and methods for network access granting | |
CN113796111A (en) | Apparatus and method for providing mobile edge computing service in wireless communication system | |
US20160301529A1 (en) | Method and apparatus for managing a profile of a terminal in a wireless communication system | |
EP2879421B1 (en) | Terminal identity verification and service authentication method, system, and terminal | |
EP3286945B1 (en) | Method and system for authentication of collaborative mobile devices | |
KR20120091635A (en) | Authentication method and apparatus in wireless communication system | |
EP3143780B1 (en) | Device authentication to capillary gateway | |
CN113973301B (en) | Autonomous device authentication for private network access | |
US20140259124A1 (en) | Secure wireless network connection method | |
CN106465116B (en) | Access control for wireless networks | |
CN112423299B (en) | Method and system for wireless access based on identity authentication | |
CN104518874A (en) | Network access control method and system | |
KR20140095050A (en) | Method and apparatus for supporting single sign-on in a mobile communication system | |
KR101660261B1 (en) | Method for configuring access point connection information and terminal device for the same | |
KR20130062965A (en) | System and method for access authentication for wireless network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20200103 Year of fee payment: 4 |